Blog-Serie: Wie sich EBICS verbessern lässt, Teil 3 – EBICS jetzt auch online

Ist es wirklich so, dass die Anforderungen von Firmenkunden im eBanking ausschließlich auf den dateibasierten Datenaustausch abzielen? Oder sind hier nicht auch Online-Geschäftsvorfälle gefragt? Warum sonst nutzen insbesondere kleinere Firmenkunden häufig eBanking-Lösungen aus dem Anwendungsumfeld für Privatkunden?


Das EBICS-Protokoll hat sich historisch gesehen aus dem Filetransfer heraus entwickelt und ist hervorragend für den sicheren und performanten Austausch großer Dateien zwischen Firmenkunden und Banken sowie im Interbankenverkehr geeignet. Die auszutauschenden Dateien sind je nach Geschäftsvorfall mit Auftragsarten oder Formatparametern gekennzeichnet. Diese steuern dann den jeweiligen Prozess.

Beim Einreichen von Daten über EBICS wird die Datenverbindung bei erfolgreicher Teilnehmer-Authentifizierung ausschließlich für die Dauer der Datenübertragung offen gehalten. Die eigentliche Verarbeitung erfolgt üblicherweise offline. Die Verarbeitungsergebnisse müssen anschließend über einen separaten Geschäftsvorfall heruntergeladen werden (PTK/HAC). Ebenso werden auf dem Bankrechner abzuholende Daten, zum Beispiel Umsatzinformationen, regelmäßig offline für Abholungen bereitgestellt. Diese Daten können dann als Datei über EBICS abgeholt werden.
Für die Online-Erfassung von Zahlungsverkehrsaufträgen und deren Autorisierung sowie die Online-Abfrage von Kontoinformationen ist der EBICS-Standard derzeit nicht ausgelegt. Diese Funktionen werden von proprietären Web-Portalen im Privatkundengeschäft sowie von nationalen Standards unterstützt, in Deutschland etwa HBCI/FinTS. Möchte ein Firmenkunde heute unter Berücksichtigung der verfügbaren Standards und Verfahren die Vorzüge von Online-Geschäftsvorfällen und EBICS gleichermaßen nutzen, so muss er unter Umständen unterschiedliche Lösungen mit verschiedenen Zugängen einsetzen.

Daher wäre es sinnvoll, den EBICS-Standard um die relevanten Online-Prozesse zu erweitern, zum Beispiel:
  • Auskunft über Kontensalden: Über das EBICS-Protokoll könnte eine Online-Auskunft über aktuelle Kontensalden geliefert werden. Dabei wird in EBICS die Verbindung zur Abfrage offen gehalten. Hiermit verfügt der Firmenkunde stets zeitnah über den aktuellen Kontenstand.
  • Auskunft über Status- und Verarbeitungsergebnissen zu Einreichungsaufträgen: Der Kunde benötigt einen Status des jeweils eingereichten Auftrages. In Verbindung mit einer neu einzuführenden Kundenauftragsreferenz (siehe Blogbeitrag vom 18.12.2014) macht eine Online-Einzelabfrage zum Auftragsstatus den Auswertungsprozess für den Firmenkunden erheblich einfacher und klarer. Gegebenenfalls erübrigt sich dann auch so mancher Anruf zur Statusauskunft bei der Bank.
Natürlich gäbe es noch weitere Einsatzmöglichkeiten. Wichtig ist aber, dass es hier nicht um eine Konkurrenz zu anderen Standards oder Verfahren im Privatkundensektor geht. Vielmehr sollte es das Ziel sein, den EBICS-Standard auf die eBanking-Bedürfnisse der Banken und der Firmenkunden anzupassen und so EBICS zukunftssicher weiterzuentwickeln.

Michael Lembcke 
JETZT TEILEN: Auf Xing teilen Auf LinkedIn teilen Auf Pinterest teilen

Blog-Serie: Wie sich EBICS verbessern lässt, Teil 2 – mit EBICS und der VEU Autorisierungen delegieren

Mit diesem Artikel setzen wir unsere im Dezember begonnene Serie über mögliche Verbesserungen in EBICS fort. Dieser Artikel widmet sich nun folgendem Problem: Wenn man heute per EBICS einen Zahlungsverkehrsauftrag einreicht, hat der Einreicher im Standardfunktionsumfang keine Möglichkeit mehr, auf die weitere Autorisierung Einfluss zu nehmen. In manchen Fällen ergibt sich aber erst mit der Einreichung, wer für die weitere Autorisierung in Frage kommt und man möchte die Autorisierung situativ delegieren.

Im aktuell spezifizierten Funktionsumfang von EBICS sind Bankrechner-seitig unterschiedliche Berechtigungsmodelle für die Einreichung und Autorisierung von Auftragsdateien durch Firmenkunden anwendbar. Diese Modelle beruhen in der Praxis stets auf den Unterschriftsklassen E, A, B und T, der Anzahl erforderlicher Unterschriften sowie der personenbezogenen Berechtigung für eine physische Datei. Darüber hinaus haben die Kreditinstitute und Softwarehersteller die Berechtigungsmodelle im Laufe der Zeit so erweitert, dass sie sich für verschiedene Einsatzszenarien eignen. Beispiele für solche Erweiterungen sind:
  • Berechtigungen bezogen auf eine Person und einen Auftrag in Kombination mit Unterschriftsklassen,  Auftragsarten (also bestimmten Geschäftsvorfällen) und Konten.
  • Verschiedene Limit-Konzepte, zum Beispiel über Beträge, Anzahl der Transaktionen, für Zeitfenster, geltend für Personen, Konten und/oder Kunden sowie nach Unterschriftsklassen gestaffelte.
  • Gruppenkonzepte in Verbindung mit Unterschriftsklassen, zum Beispiel  zur Berechtigung der Autorisierung von Personen ausschließlich verschiedener oder ausschließlich gleicher Gruppen.
  • Proprietäre Unterschriftsklassen, die eigene Wertungen für eine Autorisierung berücksichtigen.
  • Verfahren für Service-Rechenzentren (SRZ-Verfahren), in denen die Prozesse der Einreichung und Autorisierung auf Kundenebene getrennt ablaufen.
All diese Modelle sind als relativ statisch anzusehen. Das heißt, wenn ein EBICS-Kunde einen Auftrag einreicht, kann er nur bedingt beeinflussen, wie die Bank den Geschäftsvorfall abwickelt. Es gelten stets die bankseitig eingerichteten Stammdaten als Grundlage für die Berechtigungsprüfung, Formatprüfung und Autorisierung. In den Fällen, in denen eine eindeutige Herleitung der Berechtigungen im EBICS-Umfeld bankseitig möglich ist,  mag dies sinnvoll und auch gewollt sein. Allerdings können im EBICS-Prozess Einreichungs-Aufträge, die vom Sachverhalt her unterschiedliche Behandlungen erfordern, nicht in verschiedener Weise abgewickelt werden. Bei gleichförmigen SEPA-Einreichungen mit der Auftragsart CCT zugunsten eines bestimmten Kontos wären zum Beispiel stets alle für dieses Konto und diese Auftragsart im Bankrechner zur verteilten elektronischen Unterschrift (VEU) berechtigen Personen zur Autorisierung berechtigt.

Wäre es nicht sinnvoll, wenn man als Kunde bei Bedarf mit der Einreichung in EBICS bereits die Personen benennen könnte, an die man die Autorisierung delegieren möchte? Diese Personen müssen natürlich bankseitig grundsätzlich über die entsprechende Basis-Berechtigung verfügen. Der Vorteil wäre, dass die nicht benannten Personen mit der ansonsten gleichen Basis-Berechtigung den Auftrag nicht zur VEU gestellt bekommen und somit auch nicht einsehen können. Dieses Modell ist zum Beispiel für Fälle geeignet, in denen über ein bestimmtes Konto sowohl beliebige Zahlungen, als auch Gehälter oder Gagen-ähnliche Zahlungen abgewickelt werden und die Zahlungen gleichzeitig über keine besondere Kennzeichnung verfügen. Solche Kennzeichnungen sind ohnehin weitestgehend format- und länderspezifisch. Mit einer entsprechenden Erweiterung des EBICS-Standards wäre somit eine formatunabhängige Lösung umsetzbar.

Michael Lembcke 
JETZT TEILEN: Auf Xing teilen Auf LinkedIn teilen Auf Pinterest teilen

Payments Excellence by PPI

Top-Links

Blog-Themen

Autoren-Teams